致谢

VSRC 衷心感谢行业合作伙伴独孤求贡献的高质量原创文章。 欢迎对黑灰互联网行业以及风控系统策略设计感兴趣的同学添加作者微信进行交流！

VSRC欢迎提交高质量的原创文章。 优秀文章一旦被录用发表，就有好礼相送。 我们为您准备的丰富奖品包括但不限于：VSRC定制雨伞、VSRC定制水杯、VSRC精美POLO衫！ （活动最终解释权归VSRC所有）

前言

对于电商行业的风控来说，不懂业务的产品经理不是好产品。 事实上，想要成为一名优秀的风控产品经理，就必须对风控业务知识有足够深入的了解，才能根据业务需求实现更深层次的产品设计。 之前写过几篇与风控业务相关的文章，但毕竟我是一名产品经理，对业务的了解只是成为一名风控产品经理的前提。 无论我做什么，都离不开PM的核心：项目推进、流程设计和进度控制。

尤其是电商行业的风险控制，与其所处的行业、公司、产品线的特点密切相关。 在电商行业中，由于支付渠道多元化，出现欺诈行为后需要电商企业自行赔付的支付渠道有很多。 因此，这方面的损失也很大。 深化电商产业，支付风险控制也是重点。

然而，电商行业的支付风控并不能通过简单购买系统、添加规则和策略来实现。 直到今天，我仍然讨厌购买第三方系统来构建风控系统。 这是非常有限制的。 风险控制可能的边界。 虽然大家都认为购买的系统是临时应急措施，但很明显，随着第三方系统与业务的耦合度越来越高，大量的开发工作依赖于这个系统。 更换成本越来越高，但没有人谈论它。

支付风控的实现离不开系统和运营，因此表述为：系统=系统+运营。 所谓风控的目的，无非是你提高了自己的地形（风控门槛），脏水就会排到别人家里。 如果你不提高地势，脏水就会流到你家。 来吧~~~

。

。

电商行业支付风控体系概述

电子商务行业支付风控体系现状

目前支付已经在现有渠道上安装了一些支付风控规则。 但由于支付能够获取的数据字段有限，且规则引擎的并发处理能力较弱，因此可配置的规则模型也比较简单。 如果没有大量现场数据的支持，就很难验证现有的交易欺诈案例并进一步凝结新的有效的交易规则。 这不适合当前支付风控规则和策略需要不断迭代更新的生态系统。

除了直接拒绝外，现有的管控方式都是事后风控，事后风控即使发现风险也无法及时止损。 因此，现有模式下，交易风险控制的止损能力非常弱。 但当前风控系统的可选控制措施不够及时，例如无法及时、快速地控制可疑维度。

在当前欺诈形势日益恶化的情况下，收银台不断减少用户可见的支付方式，一些容易出现损失的支付方式也被关闭，而这些支付方式是很多顾客常用的。 支付方式较少，客户支付体验较差。

电子商务支付风险控制系统设计的目标

通过跨部门的数据采集和后续的数据扩展，完成了电商网站内部数据集市的建设。 通过丰富的识别字段、技术措施和规则引擎，可以为欺诈案件提供一套有效的预防方法。

通过关键节点风控系统的介入，可以实现对高风险交易的及时预警，完成交易的定性，识别欺诈案件，及时止损。

扩展现有的支付方式，使同类竞品网站上可以实现的支付方式可以在电子商务网站上使用，并实现良好的风险控制。

在后续的项目过程中，我们将不断完善风控模块的功能扩展，让风控尽可能在绝大多数用户感知不到的节点上进行； 此外，通过不同节点的分流，人工操作的成本将不断降低。 。

风控系统设计思路分类

去年下半年以来，随着全国公安系统严厉打击支付诈骗行为，各大电商网站支付诈骗的情况有了很大好转，似乎已经停止。 各公司的支付风控团队似乎也处于相对宽松的状态。 然而，进入年底以来，尤其是近两个月，不少支付渠道都被不法企业盯上了。 尤其是今年，某公司重点针对支付宝、微信进行推广。 最近欺诈压力应该很大。

另外，近两年各种风控研讨会也开始谈论机器学习建模。 然而，机器学习的本质只是一种实现规则的方法。 它在生产环境中的应用必须依赖于一套强大的规则。 风险控制体系。 无论机器学习在电商行业支付风控领域的有效性如何，电商行业复杂的支付场景能否获得满足业务场景和运营需求的规则都需要质疑。 仅靠机器学习所需要的不良样本的量级和时间周期不是一家电商企业能够承受的，因此机器学习在电商行业支付风控领域的应用还是受到一定限制的。短期内。 但无论怎样，完整的风控体系是机器学习或专家规则落地的必要载体。

根据我以往的工作经验，我接触过的公司支付风控系统的设计可以分为以下几类：

涉及非人力劳动的支付风控系统（直接拒绝型）

这方面的风控系统非常简单粗暴，适合高并发、大额、小额的交易。 此类企业舞弊现象并不严重。 只需要依靠系统结合一些偶尔发生的支付欺诈案例来针对性地进行交易。 只需制定有针对性的拦截规则即可。 该领域也适合刚涉足支付风控领域的电商企业试水。 通过前台适当的提示显示，可以引导用户至第三方支付渠道，转嫁高风险交易。

目前采用这种支付风控系统设计的公司还比较少。 总体来说，都是支付风控做得不好的公司。 他们要么技术差，要么操作差，牺牲一定的用户体验来达到风控的目的。 ，在一定阶段具有一定的适用性。

涉劳支付风控体系

发展到一定阶段，支付风控模块在前期的基础上遇到了一些瓶颈。 直接拒绝规则造成的误杀会引来大量的客户投诉，支付成功率的下降也会给支付部门的考核带来一定的后果。 压力。 此外，金额大、并发低的电商公司对于误杀的容忍度较低。 因此，随着业务的发展，支付风控系统精细化运营的需求成为发展的瓶颈。 目前，行业内电商企业对过失杀人的容忍度较低。 许多商业企业引入了涉及人力的运营机制。

每个产品线都有不同的特点，公司的环境也不同，所以很难说哪种付款方式和处理方案合适。 只能说，平衡各方利益的方案才是最合适的。 涉及体力劳动的支付风控体系相对灵活，也是一个可以持续创新的地方。 但一般来说，常见的处理框架如下：

但根据不同的支付渠道会有不同的解决方案。 常见的主要有以下两种：

抵扣前可实施的风控规则主要是指使用CVV的moto交易。 扣款权在电商网站，即电商网站可以拿到CVV，主动去银行扣款。 这种支付方式用户支付体验极佳，但风险极高。 对电子商务网站的风控运营系统有着较高的要求。 主要常见于OTA行业。 类似支付方式的银行基本已经不再开通渠道。

对于此类支付通道，在用户的支付信息触发风控规则后，风控系统可以无限期暂停（当然这也取决于用户体验和前端订单的占用时间，理论上可以无限期暂停）。 人工充分确认风险后，即可放行交易，电商网站即可向银行发起扣款。

扣款后的支付风控系统主要是指最近非常流行的快递和网银支付。 扣款的权利属于银行。 银行扣款后，会通知电商网站支付是否成功。 对于电子商务网站来说，这种支付方式一般会采用事后风控系统，主要是因为用户输入短信验证码的时间有限。 一般来说，快捷支付的短信验证码有效期只有5分钟。 如果用户输入短信验证码并触发风控规则，电商网站将不会向客户发送验证码。 当银行发起扣款请求时，电商网站只有5分钟的时间判断是否存在风险。 但对于这种事后监控的风控系统来说，五分钟肯定是不够的。 因此，对于这种支付方式，主要采用事后风控系统。

用户输入支付信息后，首先到银行发起快速扣款请求，然后调用风控系统。 如果没有触发规则，支付通知订单系统将发起订单支付成功通知。 如果该规则被触发，风控系统将暂停该规则，并由风控手动检查支付通知订单系统。 如果交易被释放，则将执行通知流程的第一步。 如果交易被拒绝，付款将被通知办理退款流程。

当然，根据每个电商网站不同的产品特点，有不同的解决方案，比如需要发货的实体产品、话费等虚拟产品、火车票、机票等有时间限制的特殊产品针对不同的产品特点，结合每个公司的风险承受能力，会有不同的处理方案和策略。

当然，这也涉及到国外卡交易的问题。 很多国际电商平台都支持visa或AE国外卡支付。 外卡的挂失率会比内卡高很多，但是企业平台的特点如果需要启用外卡支付，那么可能需要接入一些外卡风控平台，比如RED或者等，并将不同返回码的处理流程封装在支付风控系统架构内。 这也需要时间。 一些能量来实现它。

对于前两种支付风控系统方案，流程中最大的弊端是用户提交支付后可能会被拒绝支付并启动扣费流程，导致用户体验较差。 可能有相当数量的好订单被拒绝付款，而对于这些客户来说，当他们再次发起付款时，火车上可能没有座位或者机票价格上涨了。 这种客户体验的损失是很难弥补的。

因此，针对此，市场上不少大型电商平台都在尝试优化支付体验。 最常见的解决方案是在收银渲染流程中。 当用户跳转到收银效果图时，收银员调用风控系统判断是否可以显示高风险渠道。

目前，业内获悉，业内小狮子和小海豚两家公司也采用了类似的解决方案。 事实上，这种方案更适合有信用支付产品的电商网站，因为当用户开通虚拟信用卡时，他们的身份信息就已经获得了，这意味着从一开始就可以获取支付链路数据。 因此，跳转到收银支付效果图时，可以调用完整的支付风控规则，判断是否存在欺诈或贷款欺诈风险，以便进一步决策。 是否有可能展示这种基于信用的支付渠道？

可能的优化解决方案

支付风控必然会对用户体验造成一定的损害。 要么支付失败，要么可用的支付渠道较少。 对于企业来说，引导客户使用费率更高的第三方支付渠道并不符合企业的利益。 ，所以确实很难达到很好的平衡。

关于支付风控系统的设计，我相信有很多优化方案。 对于电商企业来说，所谓高风险用户的本质是用户提供的证据不足以证明“我就是我自己”，而短信验证码、CVV等都是证明“我是我自己”的证据。证明他们就是他们自己，不过这个证据目前看来已经不是很充分了。

相信很多人的卡信息已经在暗网上被泄露。 您或许可以通过花钱购买非常完整的用户资料，然后使用您的卡进行购买。 那么，在欺诈盗窃如此严重的情况下，还有其他证据可以让用户证明自己就是自己吗？ 许多公司已经尝试解决这个问题。 例如，淘宝在登录时要求您输入最近购买的商品，属于高风险登录行为。 对于撞库和账户盗窃来说，这也是证明你是谁的一个非常有力的证据。 ，当然这不能阻止熟人犯罪~~~

最近，由于工作的原因，我接触到了很多外部征信数据，这让我不断拓展了自己的视野。 似乎困扰我很久的问题有了可能的解决办法。

征信数据的存在是为了协助征信机构审核用户的身份信息、信用信息等，主要用于征信活动。 但是否可以同时使用两者呢？

对于拨打外部征信渠道的用户来说，如果用户能够正确回答具体问题，可以更好地证明用户就是本人。 因为虽然个人信息基本已经在网上泄露，但所谓的黑品仍然是业内专门的。 用于诈骗的黑产品中用户的个人数据大多是卡数据。 付款人在商户网站上可以提供其他信息，基本可以杜绝欺诈风险。 当然，无法核实的信息可以及时转入人工处理。

如果这个方案有效的话，将会是对之前支付风控架构方案的缺陷的一个很好的补充。 用户可实时证明自己，高风险支付行为无需等待即可确认，避免意外伤害； 对于企业来说，无需引导客户进入高费率渠道，节省了公司的运营成本； 公司风控团队还可以节省大量人工干预成本，提高运营效率。

现在关键点来了。 致电外部征信渠道时，哪些问题一定有效且覆盖面广？ 不用说，肯定有效，而且覆盖面广也是为了节省足够的对接成本。我也想过。 当然，是否有效还需要数据验证。

芝麻信用目前应该覆盖数亿人。 这几亿人，和电商网站网上支付的人高度重合，所以大部分人应该都能用。能实时提供芝麻信用分的人，应该算低的了- 风险群体。 目前，蚂蚁金服已开通相关服务。 能否连接取决于用户授权和法律问题。

目前驾照应该覆盖4亿人，基本可以放心正确输入驾照号码和有效期。目前，市场上也有相关征信服务公司提供相关服务。

关于这个问题，目前市场上有一些公司可以提供。 只要能回答这个问题，就基本可以排除陌生人犯罪的可能。 当然，也不排除熟悉的人实施犯罪行为。 当然，这又是另一回事了。

上述各种问题可以随机显示给触发规则的用户。 之所以有上述理解，是因为支付黑市中不存在此类信息。 当然，我相信如果你想要的话，你可以得到，但是这将是一个大问题。 违法产品的支付门槛提高了，市面上电商网站那么多，他自然会去其他风控措施宽松的网站。

就像之前说过的，所谓风险控制的目的无非就是你把地势抬高，脏水就会流到别人家里。 如果你不提高地形，脏水就会流到你的地方。 回家。

当然，在使用上述解决方案时，仍然存在一些可能出现的问题需要评估。

用户感知体验问题：很多人对于输入自己的隐私信息非常敏感，所以这些敏感的客户可能还是需要经过正常的人工干预流程。这方面是否会带来客户投诉等可能需要足够友好的文案提示、客户服务干预等

法律合规监管问题：对于上述需要使用外部征信渠道数据的问题，我没有尝试过这方面，所以是否符合网络安全法的规定，是否能够满足合规监管规定，所以还需要进一步验证。

但无论怎样，我相信支付风控系统架构可能还有很多更好的创新解决方案。 或许是因为我的视野不够广阔，我相信将其他领域的很多解决方案与支付风控系统设计相结合，一定会有很多好的解决方案。 我希望你以后能继续探索这些想法。

。

。

精彩原创文章提交将带来惊喜！

欢迎贡献！

VSRC欢迎提交高质量的原创文章。 优秀文章一旦被录用发表，就有好礼相送。 我们为您准备的丰富奖品包括但不限于：VSRC定制雨伞、VSRC定制水杯、VSRC精美POLO衫！ （活动最终解释权归VSRC所有）

我们倾听您的宝贵建议

不知道，大家都喜欢看什么类型的信息安全文章呢？

不知道您希望我们更新哪些主题？

即日起，如果您有任何想法或建议，欢迎直接回复本公众号！

留下精彩留言并互动的热心用户将有机会赢取VSRC精美奖品！

同时我们也会根据您的反馈和建议精选热门话题进行原创发布！